使用 Firebase OpenID Connect 提供商作为 AWS IAM 身份提供商

Question

我在使用 OpenID Connect 将 Firebase 设置为 AWS IAM 身份提供商时收到以下错误。

我们在处理您的请求时遇到以下错误： 请检查提供者的 .well-known/openid-configuration： https://securetoken.google.com/<Project ID> 有效。

AWS IAM 身份提供商设置需要两个输入参数，我在其中插入了以下参数：
提供者网址：https://securetoken.google.com/<Firebase Project ID>
观众：<Firebase Client ID>

为了解决错误，我在浏览器中打开 http://<Provider URL>/.well-known/openid-configuration 并注意到 JSON 响应具有 Issuer 和 jwks_uri 字段。我相信这些 JSON 字段表明 Firebase OpenID Connect Provider URL 是有效的。

知道如何避免上述错误并成功设置 AWS IAM 身份提供商吗？

Answer 1

我联系了 AWS 支持，他们帮助解决了问题。感谢 Shaun H @ AWS！

问题的解决方案是使用 AWS CLI 而不是 AWS 控制台来设置 OIDC 提供商。

我将在下面粘贴肖恩回复的相关部分： 1.) 使用此处描述的过程手动获取并验证指纹[1]。
"指纹列表" = "6040DB92306CC8BCEB31CACAC88D107430B16AFF"

2.) 使用 AWS Cli [2] 创建 OIDC 身份提供商。 例如： $ aws iam create-open-id-connect-provider --cli-input-json file://oidc.json 注意 - 格式为：
aud Audience 必须是您的 Firebase 项目 ID，即您的 Firebase 项目的唯一标识符，可以在该项目控制台的 URL 中找到。 iss Issuer 必须是https://securetoken.google.com/<projectId>，其中与上面用于 aud 的项目 ID 相同。

file://oidc.json 的内容：（替换为您的项目 ID）

{
    "Url": "https://securetoken.google.com/<Firebase Client ID>", 
    "ClientIDList": [ "<Firebase Client ID>" ], 
    "ThumbprintList": [ "6040DB92306CC8BCEB31CACAC88D107430B16AFF" ]
}

[1]http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc_verify-thumbprint.html

[2]http://docs.aws.amazon.com/cli/latest/reference/iam/create-open-id-connect-provider.html